![]() |
Elak kod någon stans som gömmer sig
Kom hem från sol och bad och möttes av massa fina meddelanden om "hijack" på mitt forum.
Försöker hitta tänkar elak kod men ser ingen röd tråd. Trycker jag på "nya inlägg" http://www.mobilabredband.se/forum/s...on=show_recent Så skickas man ibland hit: hxxp:/ /onmouseout-divstyle.ru/vis/index.php?action=show_recent Vilket är någon trevlig virussida. Sneglar jag på koden så ser det ut som detta. <a href="http://www.mobilabredband.se/forum/viewtopic.php?id=4016&action=new" title="Gå till det första nya inlägget sen ditt senaste besök.">Nya inlägg</a> Vad kan då detta betyda, att de har ändrat något i databas strukturen eller html koden? |
Hittade detta fina i min .htaccess fil bland annat
Kod:
<IfModule mod_rewrite.c> |
Glöm inte att kolla hur .htaccessfilen ändrats. Notera tiden för när filen ändrades och jämför med accessloggarna. Hittar du ingenting där kan intrånget ha skett via FTP.
|
Update: Jag anar att du själv administrerar den här servern och det inte är ett webbhotellskont. Notera att även andra domäner på servern är drabbade, se http://sakrare.ikyon.se/?ip=188.95.227.20. Det är jag som driver den här sidan, attacken mot det här ip-numret upptäcktes i tisdags men på grund av lite krångel hos mig har de här rapporterna inte kommit iväg förrän nu.
|
Installera och kör dessa för att kolla så du inte har ngt rootkit eller liknande som ligger kvar:
http://www.rootkit.nl/projects/rootkit_hunter.html http://www.rfxn.com/projects/linux-malware-detect/ |
Servern är citynetworks shared hosting
|
Citat:
Citat:
Citat:
Har bytt ftp konton nu också, får se om de hjälper lite. |
Håll gärna tråden uppdaterad om vad som var orsaken när du/ni vet. Skulle vara intressant att veta vad man kanske inte tänker på själv.
Var med om något liknande tidigare på en tidigare arbetsplats. Där var problemet att ftp-lösen hade läckt ut från kunden själv. |
Det där har jag sett på flera kunders konton tidigare hos oss. Det som verkar ske är att FTP-lösenordet kommer ut (vanligen genom virus på datorn eller i samma nätverk som FTP-anslutningarna görs från). Sen brukar något kolla igenom kontot efter .htaccess-filer, ta ner dessa, lägga till redirects som kollar efter browser, vilken väg de kom in (referrer osv) och sen skicka vidare till antingen reklam eller virussidor.
Enda åtgärden vi har behövt göra i dessa fall är att meddela kunden, byta lösenord på FTP och be kunden köra en komplett virusscanning, det har löst alla ärenden jag kan minnas hittills. |
Har pratat med CN och de lät inte som jag var ensam om att ha anmält detta.
Men får se om det är knytet till mitt ftp konto enskilt eller vad det beror på. Skall försöka rensa upp bäst jag kan nu |
Fick hjälp nu från supporten att ändra att enbart root har rättighet att ändra .htaccess
Får se om detta hjälper mig. Dock har ju sidan hamnat i alla fina filter nu vilket dödar hela besöksfloden. |
Efter dagens tidigare rensning så var alla .htaccess tillbaka när jag titta nyss.
Har rensat och lagt upp nya ch moddat till 444, se om de hjälper nå |
Citat:
|
Citat:
Hmm jag blev också drabbad av detta, ett flertal sidor (samma FTP), men problemet upphörde inte efter att jag bytte ut FTP lösenordet. Det var inte förrän jag ersatt all kod i alla WP installationer som jag slutade få sura hijack rapporter. Naturligtvis var alla raporterade instanser borttagna redan, men det verkade nästan som att det spred sig ytterligare efter att FTP lösenordet blev bytt. |
Citat:
yes Citat:
imorse var allt tillbaka igen vilket gör en lite less. nu håller gubbsen på CN på att försöka hitta någon röd tråd, de har låst mitt ftp konto och jag hoppas att de hittar nått snart. rädd för att de skulle vara någon form av rootkit på min maskin, fast jag kör med flera olika maskiner också. Kört vanliga av scanningar utan några resultat och tog de säkra före de osäkra och blåste om maskinen nu också. Alla som besöker mina sidor blir infekterade också vilket är skapligt dåligt för mig. |
Efter letande bland filerna så har jag hittat 2 elaka filer en så länge.
Kan vara de som lyckas göra vad de vill med mina .htaccess filer då. Under: /wp-content/uploads/_cache.php->(SCRIPT0000) Fick ut denna rapporten. Backdoor:PHP/Shell.F Encyclopedia entry Published: Jan 18, 2012 http://www.microsoft.com/security/po...tid=2147652984 |
Alla tider är GMT +2. Klockan är nu 21:33. |
Programvara från: vBulletin® Version 3.8.2
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
Svensk översättning av: Anders Pettersson